Trendbreuk

De digital operational resilience act (DORA) is een nieuwe EU-verordening die de DNB Good Practice Informatiebeveiliging en NISII aanvult op het gebied van IT-risicobeheersing en cybersecurity. Vanaf 17 januari 2025 moeten financiële instellingen aan DORA voldoen.

Deze verordening schrijft niet alleen voor wát er moet gebeuren, maar ook hóe, met een rule-basedbenadering. Dit betekent dat er weinig ruimte is voor eigen invulling, wat aanzienlijke inspanningen vereist voor de implementatie. DORA is in mijn optiek een breuk in de principle-basedtraditie van de EU. Europa heeft in dit geval gekozen voor een rule-basedbenadering. De vraag is wel: is deze ‘kentering’ ook een verbetering?

De EU neemt vaak een principle-based approach bij het uitzetten van verordeningen zodat lidstaten de vereisten kunnen aanpassen aan hun specifieke context en behoeften. Deze aanpak biedt flexibiliteit en stelt de EU in staat om een algemene politieke visie te hanteren en prioriteiten te stellen. Het vormt de basis voor de strategische agenda van de EU, die de politieke prioriteiten voor de toekomst bepaalt en een waarborg vormt voor een robuuste financiële sector. Een rule-basedbenadering kan voordelen bieden in termen van duidelijkheid en consistentie.

Het stelt organisaties in staat om specifieke regels te volgen. Dat kan helpen bij het verminderen van onzekerheid en het vergemakkelijken van naleving. Er is wel één element in DORA die ruimte geeft voor eigen interpretatie en invulling: het proportionaliteitsbeginsel. Het begrip risk-based is hierbij de letterlijke invulling van dit beginsel in DORA. Desalniettemin kan er gesteld worden dat het proportionaliteitsbeginsel een algemeen principe is binnen EU-wetgeving. En dat dit het enige principle-basedaspect van DORA is waarbij een instelling een eigen inschatting kan maken van de wijze waarop een organisatie invulling geeft aan bepaalde vereisten van DORA.

De achterliggende reden voor een rule-based approach bij DORA is om versnippering in wettelijke verplichting omtrent IT-processen en op cybersecuritygebied tegen te gaan, en om de harmonisatie tussen EU-lidstaten in de implementatie van DORA te versterken. Dit is vooral belangrijk bij wetgeving, zoals DORA, waar een consistente aanpak cruciaal is voor effectieve risicobeheersing en cybersecurity. Een recente publicatie van EY geeft aan dat nu ‘vanuit het businessmodel van de hacker’ wordt gekeken. Vanuit dat oogpunt is de zwakste schakel het doelwit. Daardoor is harmonisatie van implementatie en uniformiteit een sterk punt.

De keuze om in DORA een groot aantal gedetailleerde normen op te nemen, is daarom vermoedelijk genomen vanuit het oogpunt om harmonisatie te bevorderen. Doordat er vrij weinig interpretatie nodig is, zal iedere lidstaat ook minder afwijken tijdens de implementatie van DORA. Daardoor zullen de financiële organisaties ook gelijkvormig handelen volgens de wetsvoorschriften.

In conclusie, de rule-based approach van DORA biedt een duidelijk kader voor financiële organisaties om IT-risico’s en cyberdreigingen aan te pakken. Deze benadering vermindert de ruimte voor interpretatie en zorgt voor een meer uniforme implementatie van de verordening in alle EU-lidstaten en de individuele financiële instellingen. Dit is vooral belangrijk in het licht van de toenemende cyberdreigingen, waarbij een consistente aanpak cruciaal is voor effectieve risicobeheersing en cybersecurity.

De vraag blijft echter of deze doelstellingen ook bereikt hadden kunnen worden met een principle-basedaanpak. Dit zou mogelijk kunnen leiden tot innovatieve best practices en minder regeldruk, een vaak genoemde zorg binnen de financiële sector.